SLOTHFULMEDIA

Description de SLOTHFULMEDIA

SlothfulMedia est un compte-gouttes de logiciels malveillants qui a fait l'objet d'un rapport publié par le Département de la sécurité intérieure (DHS) en combinant les résultats de la Cybersecurity and Infrastructure Security Agency (CISA) et de la Cyber National Mission Force (CNMF). La menace du logiciel malveillant est conçue pour supprimer deux fichiers supplémentaires sur le système compromis - un cheval de Troie d'accès à distance (RAT), tandis que l'autre fichier est responsable de la suppression du RAT une fois la persistance atteinte.

Le fichier de dropper principal est chargé de télécharger la charge utile RAT en tant que fichier nommé 'mediaplayer.exe' et de le placer dans le dossier ' % AppData% \ Media \ '. Un fichier 'media.lnk' est également déposé dans le même chemin. Il procède ensuite au téléchargement d'un fichier dans le dossier ' % TEMP% ', lui donne un nom aléatoire de cinq caractères et l'ajoute avec l'extension .'exe '. Pour s'assurer que l'utilisateur a plus de mal à remarquer ce fichier, il est créé avec un attribut «masqué». Le fichier dropper est également responsable de la création du mécanisme de persistance pour le RAT. Il y parvient en créant un processus «TaskFrame» qui exécutera le RAT à chaque démarrage du système. La communication avec l'infrastructure de commande et de contrôle (C2, C&C) est réalisée via des requêtes HTTP et HTTPS au domaine «www [.] Sdvro.net».

La charge utile RAT elle-même est capable de prendre un contrôle complet sur l'ordinateur compromis. Il commence son activité de collecte de données en prenant une capture d'écran du bureau, en le nommant «Filter3.jpg» et en le plaçant dans le répertoire local. Il collecte ensuite diverses données système telles que le nom de l'ordinateur et de l'utilisateur, la version du système d'exploitation, l'utilisation de la mémoire et les disques logiques connectés. Les informations sont transformées en chaîne, puis hachées et envoyées dans le cadre de la communication initiale avec le serveur C2. Si tout fonctionne correctement, le RAT attendra alors qu'une commande spécifique s'exécute sur la machine infectée. Il peut manipuler des fichiers, exécuter et arrêter des processus, énumérer des ports ouverts, des lecteurs, des fichiers, des répertoires et des services, prendre des captures d'écran; modifier le registre, entre autres activités menaçantes.

Le fichier avec le nom aléatoire fourni par le compte-gouttes est chargé d'éliminer certains des signes révélateurs de l'activité du RAT. Il modifie le registre pour garantir que l'exécutable principal du malware est supprimé au prochain redémarrage du système. La clé de registre qu'il utilise est:

'HKLM \ System \ CurrentControlSet \ Control \ SessionManager \ PendingFileRenameOperations

Données: \ ?? \ C: \ Users \ \ AppData \ Local \ Temp \ wHPEO.exe. '

L'historique Internet de l'utilisateur sera également effacé en supprimant le fichier «index.dat».